文 | 路云天網(wǎng)絡(luò)安全研究院 孔勇 范佳雪

2006年6月，按照2003年美國布什政府頒布的第7號國土安全總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施識別、優(yōu)先排序和保護(hù)》（簡稱HSPD-7）要求，國土安全部牽頭起草并發(fā)布了《國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》（簡稱NIPP）。NIPP提出了一個(gè)全面的風(fēng)險(xiǎn)管理框架，明確界定了國土安全部、聯(lián)邦部門、州和地方政府以及私營部門等安全合作伙伴的角色職責(zé)，在廣泛協(xié)調(diào)溝通的基礎(chǔ)上，設(shè)計(jì)了一套較為完備的組織協(xié)作模式和信息共享機(jī)制，該計(jì)劃還闡述了如何通過與其他國家級國土安全規(guī)劃的整合，使其更具統(tǒng)一性、連續(xù)性和協(xié)作性。NIPP自2006年發(fā)布以來，先后在2007、2008、2009和2013年經(jīng)歷了多次更新，在總結(jié)先前實(shí)施經(jīng)驗(yàn)的基礎(chǔ)上更加貼合時(shí)代發(fā)展要求，更新后的保護(hù)計(jì)劃已成為美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的重要理論指導(dǎo)和實(shí)踐指南。

一、主要內(nèi)容

2006年6月，美國國土安全部發(fā)布NIPP，標(biāo)志著美國全面實(shí)施國家級關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃。這份保護(hù)計(jì)劃總結(jié)和凝練了美國多年的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)經(jīng)驗(yàn)，正文共分七章內(nèi)容，分別闡述了計(jì)劃概述、角色責(zé)任、風(fēng)險(xiǎn)管理框架、協(xié)調(diào)合作機(jī)制、國土安全任務(wù)整合、長效行動任務(wù)和資源保障方案等。

(一)計(jì)劃概述：提出兩個(gè)總體目標(biāo)，明確保護(hù)努力方向

保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和重要資源（簡稱CI/KR）對美國的國家安全、公共安全、經(jīng)濟(jì)活力和社會穩(wěn)定至關(guān)重要。美國的政策側(cè)重于加強(qiáng)CI/KR保護(hù)，確保在發(fā)生恐怖襲擊、自然災(zāi)害或其他類型事件時(shí)，維持基本的政府職能、公共服務(wù)和經(jīng)濟(jì)運(yùn)行，并確保CI/KR不會被用作大規(guī)模殺傷性武器針對美國。為貫徹這一政策，NIPP提出了兩個(gè)總體目標(biāo)，一是通過加強(qiáng)對國家CI/KR的保護(hù)，建設(shè)一個(gè)更安全、更可靠、更有彈性的美國；二是提升國家預(yù)防、響應(yīng)和快速恢復(fù)的能力，以應(yīng)對恐怖襲擊、自然災(zāi)害或其他緊急狀況。為實(shí)現(xiàn)總體目標(biāo)，NIPP提出了CI/KR保護(hù)的三個(gè)努力方向，即阻止威脅、減輕脆弱性以及減少恐怖襲擊或其他事件的相關(guān)后果，通過一系列廣泛的行動，如加固設(shè)施、建立彈性和冗余、將抗危害性納入初始設(shè)施設(shè)計(jì)、啟動主動或被動對策、安裝安全系統(tǒng)、促進(jìn)員工保障計(jì)劃、實(shí)施網(wǎng)絡(luò)安全措施等，實(shí)現(xiàn)對CI/KR的保護(hù)。為驗(yàn)證和優(yōu)化保護(hù)行動，NIPP還提出了衡量目標(biāo)實(shí)現(xiàn)進(jìn)展的四個(gè)能力：一是具備協(xié)調(diào)保護(hù)計(jì)劃，應(yīng)對已知和潛在威脅的能力；二是具備快速學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)，適應(yīng)不斷變化的威脅或事件的能力；三是具備固化流程機(jī)制，有效實(shí)施保護(hù)及快速響應(yīng)、恢復(fù)的能力；四是具備實(shí)時(shí)事件通報(bào)，開展強(qiáng)大的信息共享的能力。

(二)角色責(zé)任：明確合作角色定位，界定保護(hù)職責(zé)分工

美國認(rèn)識到改善關(guān)鍵基礎(chǔ)設(shè)施保護(hù)需要一個(gè)全面、統(tǒng)一的組織，NIPP明確提出了相關(guān)角色的權(quán)力職責(zé)，以期通過加強(qiáng)公私部門之間的密切合作共同保護(hù)美國的關(guān)鍵基礎(chǔ)設(shè)施。在NIPP的框架下，共劃分了7類角色，包括國土安全部、行業(yè)特定機(jī)構(gòu)、其他聯(lián)邦部門、州和地方政府、私營部門、咨詢委員會以及學(xué)術(shù)界等。

根據(jù)《國土安全法》和HSPD-7的規(guī)定，國土安全部被要求在領(lǐng)導(dǎo)、整合和協(xié)調(diào)全國CI/KR保護(hù)方面做出努力：一是協(xié)同開發(fā)NIPP和支持行業(yè)特定計(jì)劃；二是制定和實(shí)施多層次的風(fēng)險(xiǎn)管理計(jì)劃；三是制定跨部門和區(qū)域的保護(hù)指南和協(xié)議；四是推薦行業(yè)內(nèi)和行業(yè)間的風(fēng)險(xiǎn)管理績效標(biāo)準(zhǔn)和指標(biāo)。除了總體領(lǐng)導(dǎo)和跨部門協(xié)調(diào)職責(zé)外，國土安全部也擔(dān)任10個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的行業(yè)特定機(jī)構(gòu)并履行相應(yīng)職責(zé)。此外，NIPP還明確了國土安全部在國家級層面的18項(xiàng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)職責(zé)，如：協(xié)調(diào)聯(lián)邦行動、促進(jìn)安全伙伴關(guān)系、支持風(fēng)險(xiǎn)評估計(jì)劃、建立信息共享網(wǎng)絡(luò)、開發(fā)風(fēng)險(xiǎn)評估工具、關(guān)注網(wǎng)絡(luò)漏洞威脅、開展教育培訓(xùn)活動、編制保護(hù)預(yù)算報(bào)告、監(jiān)督計(jì)劃實(shí)施過程、促進(jìn)技術(shù)開發(fā)轉(zhuǎn)讓、提供實(shí)時(shí)威脅情報(bào)、組織安全演習(xí)評估、促進(jìn)國際合作，整合國家保護(hù)資源等。

鑒于每個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)都有其獨(dú)特的特點(diǎn)、運(yùn)營模式和風(fēng)險(xiǎn)狀況，HSPD-7為每個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)都指定了聯(lián)邦政府的行業(yè)特定機(jī)構(gòu)（SSA）。行業(yè)特定機(jī)構(gòu)的工作要點(diǎn)：一是與國土安全部合作實(shí)施NIPP行業(yè)伙伴關(guān)系模式和風(fēng)險(xiǎn)管理框架，提供行業(yè)級CI/KR保護(hù)指導(dǎo)；二是與行業(yè)安全伙伴合作制定行業(yè)特定計(jì)劃（SSP）并向國土安全部提交部門級績效反饋；三是與私營部門安全伙伴合作，在行業(yè)部門內(nèi)制定信息共享和分析機(jī)制，四是向國土安全部提交管轄行業(yè)的CI/KR保護(hù)預(yù)算需求的年度報(bào)告。此外，NIPP也明確了行業(yè)特定機(jī)構(gòu)在部門級層面的多項(xiàng)保護(hù)職責(zé)，如：促進(jìn)行業(yè)風(fēng)險(xiǎn)評估，支持國土安全部數(shù)據(jù)調(diào)用、通報(bào)需求預(yù)算和分配保護(hù)資源等。

NIPP規(guī)定包括國務(wù)院、司法部、商務(wù)部、交通部、國防部、核管理委員會、國土安全委員會、科學(xué)與技術(shù)政策辦公室以及管理和預(yù)算辦公室在內(nèi)的多個(gè)聯(lián)邦部門和機(jī)構(gòu)都將作為安全合作伙伴，與國土安全部和行業(yè)特定機(jī)構(gòu)進(jìn)行協(xié)調(diào)。這些部門和機(jī)構(gòu)要與國土安全部合作實(shí)施CI/KR保護(hù)的三個(gè)工作方向：一是在本部門內(nèi)實(shí)施保護(hù)計(jì)劃，并協(xié)助進(jìn)行風(fēng)險(xiǎn)評估及重要性排序；二是通過行業(yè)代表組成的監(jiān)管機(jī)構(gòu)支持和強(qiáng)化CI/KR保護(hù)的國家目標(biāo)；三是與所有相關(guān)安全合作伙伴合作，在適當(dāng)?shù)那闆r下共享本行業(yè)內(nèi)的安全相關(guān)信息。

表 行業(yè)特定機(jī)構(gòu)和HSPD-7指定的CI/KR行業(yè)

-網(wǎng)絡(luò)安全和電信局 信息技術(shù)電信-運(yùn)輸安全管理局 郵運(yùn)-運(yùn)輸安全管理局-美國海岸警衛(wèi)隊(duì) 運(yùn)輸系統(tǒng)-移民和海關(guān)執(zhí)法局-聯(lián)邦保護(hù)局 政府設(shè)施

NIPP認(rèn)為州、地方和部落政府應(yīng)負(fù)責(zé)執(zhí)行國土安全任務(wù)，保護(hù)公共安全并確保向其管轄范圍內(nèi)的社區(qū)和行業(yè)提供基本服務(wù)。按照管轄范圍和組織結(jié)構(gòu)的不同，又可細(xì)分為州政府、地方政府、部落政府、區(qū)域合作伙伴以及其他地區(qū)級實(shí)體。其中州政府負(fù)責(zé)建立安全伙伴關(guān)系和協(xié)調(diào)信息共享，在管轄范圍內(nèi)做好CI/KR保護(hù)規(guī)劃和預(yù)案，作為重要的協(xié)調(diào)中心，州政府要促進(jìn)公私合作伙伴的保護(hù)和應(yīng)急響應(yīng)活動，當(dāng)威脅事件超出私營部門能力范圍時(shí)，州政府要充當(dāng)請求聯(lián)邦援助的渠道，此外，州政府還負(fù)責(zé)落實(shí)管轄范圍內(nèi)的所有部門的CI/KR保護(hù)資源得到有效分配。地方政府代表著實(shí)施NIPP伙伴關(guān)系模式的前線，它們與私營部門共同提供關(guān)鍵的公共服務(wù)和其他相關(guān)功能，通常承擔(dān)最初的預(yù)防、響應(yīng)和恢復(fù)的職責(zé)，作為NIPP框架下的關(guān)鍵合作伙伴，地方政府將極大地推動應(yīng)急準(zhǔn)備和參與相關(guān)計(jì)劃實(shí)施。部落政府在CI/KR保護(hù)方面的角色和責(zé)任通常與州和地方政府的角色和責(zé)任相同，并確保與聯(lián)邦、州、地方政府的密切協(xié)調(diào)，以實(shí)現(xiàn)在其管轄范圍內(nèi)實(shí)施NIPP和行業(yè)特定計(jì)劃框架的協(xié)同效應(yīng)。區(qū)域合作伙伴包括各種公共和私營部門組織，這些組織跨越司法管轄區(qū)或部門邊界，側(cè)重于國土安全預(yù)防、保護(hù)、響應(yīng)和恢復(fù)。其他地區(qū)級實(shí)體履行與CI/KR運(yùn)營和保護(hù)的各個(gè)方面相關(guān)的監(jiān)管、咨詢或業(yè)務(wù)監(jiān)督職能。

私營部門是其控制的關(guān)鍵基礎(chǔ)設(shè)施的第一道防線，負(fù)責(zé)開展關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)、修復(fù)、協(xié)調(diào)及合作活動，支持風(fēng)險(xiǎn)管理規(guī)劃并向聯(lián)邦政府提供意見和建議，具體包括評估業(yè)務(wù)和應(yīng)急管理計(jì)劃的連續(xù)性，增強(qiáng)業(yè)務(wù)流程和系統(tǒng)的彈性和冗余度，保護(hù)設(shè)施免受物理和網(wǎng)絡(luò)攻擊、防范內(nèi)部威脅，以及加強(qiáng)與外部組織的協(xié)調(diào)等。

咨詢委員會就保護(hù)政策和活動向政府提供建議和專業(yè)知識。此類委員會經(jīng)常與私營部門領(lǐng)導(dǎo)人進(jìn)行接觸，以獲得與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)相關(guān)的政策或計(jì)劃的反饋，很好地提高了特定計(jì)劃的效率和效果。其中有四個(gè)較為重要委員會分別是關(guān)鍵基礎(chǔ)設(shè)施伙伴關(guān)系咨詢委員會（CIPAC）、國土安全咨詢委員會HSAC）、國家基礎(chǔ)設(shè)施咨詢委員會（NIAC）、國家安全電信咨詢委員會（NSTAC）

學(xué)術(shù)和研究中心在實(shí)現(xiàn)國家級CI/KR保護(hù)和實(shí)施NIPP方面發(fā)揮著重要作用，如基于研發(fā)中心對CI/KR保護(hù)問題進(jìn)行獨(dú)立分析、研究和提供創(chuàng)新思維，針對安全合作伙伴研究可用于支持NIPP工作的新技術(shù)和新方法等。

(三)管理風(fēng)險(xiǎn)：提出風(fēng)險(xiǎn)管理框架，構(gòu)建風(fēng)險(xiǎn)管理模型

NIPP的基石是風(fēng)險(xiǎn)管理框架，這一框架通過對威脅、脆弱性和后果的流程化處理，實(shí)現(xiàn)對風(fēng)險(xiǎn)的綜合評估。針對改進(jìn)和加強(qiáng)CI/KR保護(hù)能力，風(fēng)險(xiǎn)管理框架提出了一個(gè)閉環(huán)的可自提高的風(fēng)險(xiǎn)管理模型，具體可分為六個(gè)步驟——設(shè)定安全目標(biāo)、識別資產(chǎn)、評估風(fēng)險(xiǎn)、優(yōu)先排序、實(shí)施保護(hù)和衡量效果。同時(shí)，在模型中的每一步都要考慮物理資產(chǎn)、網(wǎng)絡(luò)資產(chǎn)和人三個(gè)因素。為確保風(fēng)險(xiǎn)管理框架的使用，NIPP要求國土安全部、行業(yè)特定機(jī)構(gòu)及其安全合作伙伴共同負(fù)責(zé)實(shí)施風(fēng)險(xiǎn)管理框架。

設(shè)定安全目標(biāo)環(huán)節(jié)就是定義有效防護(hù)的具體結(jié)果、條件和績效目標(biāo)。安全目標(biāo)可能因行業(yè)而異，但總體目標(biāo)是通過實(shí)施重點(diǎn)風(fēng)險(xiǎn)緩解和保護(hù)戰(zhàn)略來增強(qiáng)CI/KR保護(hù)狀態(tài)。NIPP推薦的五個(gè)網(wǎng)絡(luò)安全目標(biāo)分別是：建立國家網(wǎng)絡(luò)安全響應(yīng)體系、減少漏洞及網(wǎng)絡(luò)攻擊的程度、提高國家網(wǎng)絡(luò)安全意識、促進(jìn)網(wǎng)絡(luò)培訓(xùn)和教育、識別和減少網(wǎng)絡(luò)空間威脅。

識別資產(chǎn)、系統(tǒng)、網(wǎng)絡(luò)和功能環(huán)節(jié)最重要的是制定、收集和維護(hù)資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)的清單。該清單的作用在于支持緊急事件響應(yīng)、制定應(yīng)對策略、為決策提供信息、以及確定恢復(fù)重建的優(yōu)先事項(xiàng)。國土安全部收集了一份全面的國家基礎(chǔ)設(shè)施信息清單并保存在國家資產(chǎn)數(shù)據(jù)庫（NADB）中，清單包括各種資產(chǎn)、系統(tǒng)、網(wǎng)絡(luò)和功能之間的關(guān)系、依賴性和相互依賴性的基本信息；多個(gè)行業(yè)相關(guān)的服務(wù)提供商；美國CI/KR可能依賴的外國資產(chǎn)、系統(tǒng)、網(wǎng)絡(luò)和功能。

清單信息的來源主要包括五類：一是部門提供的數(shù)據(jù)，由行業(yè)特定機(jī)構(gòu)向國土安全部提供并定期更新的數(shù)據(jù)；二是安全伙伴自愿提供的數(shù)據(jù)，運(yùn)營者、州和地方政府、聯(lián)邦部門機(jī)構(gòu)資源提交的信息；三是研究結(jié)果數(shù)據(jù)，行業(yè)協(xié)會、社會團(tuán)體和監(jiān)管機(jī)構(gòu)的研究結(jié)果或商業(yè)數(shù)據(jù)；四是定期交流交換的數(shù)據(jù)，國土安全部與安全合作伙伴合作可以進(jìn)行數(shù)據(jù)交流和交換，甚至可以要求合作伙伴提供特定信息；五是通過持續(xù)審查得來的數(shù)據(jù)，國土安全部與安全合作伙伴協(xié)調(diào)，現(xiàn)場評估審查并收集的相關(guān)基本信息和額外信息，如系統(tǒng)組件、依賴性和相互依賴性、支持后果分析的具體信息以及評估信息等。此外，NIPP強(qiáng)調(diào)了識別網(wǎng)絡(luò)基礎(chǔ)設(shè)施的必要性，認(rèn)為網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為行業(yè)特定風(fēng)險(xiǎn)評估的組成部分應(yīng)該單獨(dú)識別。國土安全部應(yīng)該開發(fā)相關(guān)工具和方法幫助安全合作伙伴識別網(wǎng)絡(luò)資產(chǎn)，如業(yè)務(wù)系統(tǒng)、控制系統(tǒng)、訪問控制系統(tǒng)及警告和預(yù)警系統(tǒng)等。

評估風(fēng)險(xiǎn)環(huán)節(jié)的重點(diǎn)是提出一種對風(fēng)險(xiǎn)組成部分的量化方法并建立一套通用分析流程。NIPP將風(fēng)險(xiǎn)評估通過后果、脆弱性和威脅的分析進(jìn)行量化。

后果分析：在NIPP的背景下，后果被衡量為可預(yù)期的損失或損害范圍。國家級風(fēng)險(xiǎn)評估的后果因素包括對人的影響、對經(jīng)濟(jì)影響、對公眾信息的影響以及對政府能力的影響。國土安全部與行業(yè)合作伙伴開發(fā)風(fēng)險(xiǎn)分析和管理的框架工具，可以對后果評估進(jìn)行定量計(jì)算，并在不同資產(chǎn)類型間進(jìn)行風(fēng)險(xiǎn)分析比較。國家基礎(chǔ)設(shè)施模擬和分析中心（NISAC）開發(fā)的復(fù)雜仿真模型，增強(qiáng)了美國對CI/KR依賴性和相互依賴性的理解，更好地為政策分析、投資、預(yù)防和緩解提供信息。

脆弱性評估：脆弱性評估主要圍繞資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)的漏洞開展，其關(guān)鍵步驟為第一步確定適當(dāng)?shù)脑u估策略，第二步是確定合適的評估方法或工具，第三步是識別和對漏洞進(jìn)行分組，第四步是確定資產(chǎn)和部門的依賴關(guān)系，第五步是考慮物理、網(wǎng)絡(luò)和人為因素相關(guān)的脆弱性，第六步是分析現(xiàn)有保護(hù)計(jì)劃的效果，第七步是評估差距以確定未解決的漏洞。為了使脆弱性評估結(jié)果具有可比性，國土安全部為各個(gè)部門開發(fā)特定的安全漏洞評估（SVA）模塊，這些模塊使用通用算法，產(chǎn)生的結(jié)果可與其他模塊評估結(jié)果進(jìn)行對比，行業(yè)特定機(jī)構(gòu)也要與國土安全部合作確定各行業(yè)部門的脆弱性評估標(biāo)準(zhǔn)，并負(fù)責(zé)促進(jìn)部門內(nèi)脆弱性評估行動及匯總評估結(jié)果。

威脅分析：NIPP風(fēng)險(xiǎn)評估過程中的威脅分析是對特定對手的意圖和能力的分析。美國認(rèn)為關(guān)鍵基礎(chǔ)設(shè)施面臨的關(guān)鍵威脅包括物理攻擊、網(wǎng)絡(luò)攻擊和人為因素三個(gè)方面。國土基礎(chǔ)設(shè)施威脅和風(fēng)險(xiǎn)分析中心（HITRAC）在國土安全部的領(lǐng)導(dǎo)下，對所有CI/KR部門進(jìn)行綜合威脅分析并生成威脅事件信息和戰(zhàn)略規(guī)劃信息。威脅事件信息是國土安全部利用來自多個(gè)來源的7X24小時(shí)情報(bào)和行動監(jiān)控，以威脅事件和基礎(chǔ)設(shè)施的最新可用信息為基礎(chǔ)進(jìn)行分析，包括事件報(bào)告和威脅警告等。戰(zhàn)略規(guī)劃信息是對關(guān)恐怖分子攻擊目標(biāo)、目的和能力的分析，以評估可能用于每個(gè)CI/KR部門的潛在恐怖襲擊情況，包括恐怖襲擊目標(biāo)選擇矩陣、特定攻擊威脅場景、特殊部門威脅評估等。

優(yōu)先順序環(huán)節(jié)是通過對關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)量化結(jié)果進(jìn)行排序，確定風(fēng)險(xiǎn)緩解最緊迫的領(lǐng)域以及確定最具成效的保護(hù)措施。排序過程包括兩項(xiàng)行動：一是基于風(fēng)險(xiǎn)評估的量化數(shù)值，確定最高風(fēng)險(xiǎn)對象，風(fēng)險(xiǎn)最大的對象在風(fēng)險(xiǎn)管理計(jì)劃中享有最高優(yōu)先級；二是確定預(yù)期投資中最大程度降低風(fēng)險(xiǎn)的保護(hù)措施，并在項(xiàng)目設(shè)計(jì)和資源分配中享有最高優(yōu)先級。

實(shí)施保護(hù)計(jì)劃環(huán)節(jié)強(qiáng)調(diào)了保護(hù)計(jì)劃的有效性。在實(shí)施層面，保護(hù)計(jì)劃由不同安全合作伙伴采取的不同行動組成，從領(lǐng)導(dǎo)力的角度來看，需要有國家領(lǐng)導(dǎo)層面確保實(shí)施全面、協(xié)調(diào)、經(jīng)濟(jì)高效的保護(hù)計(jì)劃。NIPP指出保護(hù)措施應(yīng)從檢測、防御、緩解、響應(yīng)和恢復(fù)等具體環(huán)節(jié)開展行動，并指出在資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)的初始規(guī)劃中構(gòu)建安全比在使用后加裝安全措施性價(jià)比更高。因此，要求安全伙伴考慮如何將風(fēng)險(xiǎn)管理、健壯性、彈性和適當(dāng)?shù)奈锢砗途W(wǎng)絡(luò)安全增強(qiáng)納入新的CI/KR的設(shè)計(jì)和構(gòu)建中。

衡量有效性環(huán)節(jié)是為了推動行業(yè)層面的CI/KR風(fēng)險(xiǎn)緩解計(jì)劃和國家層面的整體績效持續(xù)改進(jìn)。NIPP使用三種定量指標(biāo)來衡量項(xiàng)目績效，包括描述性指標(biāo)、過程（輸出）指標(biāo)和結(jié)果指標(biāo)。根據(jù)對三種定量指標(biāo)不同的分組應(yīng)用，又可以衍生出核心指標(biāo)和特定行業(yè)指標(biāo)，核心指標(biāo)由國土安全部負(fù)責(zé)制定和完善，適用于所有部門，是指能夠衡量行業(yè)特定計(jì)劃實(shí)施的過程、進(jìn)展和結(jié)果的描述性數(shù)據(jù)指標(biāo)，它是每個(gè)部門的基本指標(biāo)以便在不同類型基礎(chǔ)設(shè)施間比較、分析以及進(jìn)行資源分配。特定行業(yè)指標(biāo)由國土安全部、行業(yè)特定機(jī)構(gòu)和其他公私部門合作伙伴協(xié)作制定，僅適用于單個(gè)行業(yè)，根據(jù)每個(gè)行業(yè)的獨(dú)特特點(diǎn)量身定制，用于協(xié)助監(jiān)控特定行業(yè)內(nèi)的進(jìn)展情況。按照HSPD-7的要求，每個(gè)行業(yè)特定機(jī)構(gòu)都要向國土安全部提交一份年度報(bào)告，說明其各自部門識別、優(yōu)先考慮和實(shí)施關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的努力，這其中就包括關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的進(jìn)展衡量。

(四) 組織合作：提升管理協(xié)調(diào)機(jī)制，優(yōu)化信息共享模式

美國CI/KR數(shù)量龐大且復(fù)雜，其相關(guān)保護(hù)架構(gòu)的分散性，以及恐怖主義威脅和自然災(zāi)害的不確定性，對有效執(zhí)行保護(hù)工作提出了很大的挑戰(zhàn)。想要有效地實(shí)施NIPP，就必須在執(zhí)行保護(hù)工作中明確組織結(jié)構(gòu)和合作關(guān)系，保證協(xié)同合作的各個(gè)部門和機(jī)構(gòu)能夠進(jìn)行有效的信息共享。

NIPP規(guī)劃的關(guān)鍵基礎(chǔ)設(shè)施協(xié)調(diào)機(jī)制共包括四個(gè)層面，國家層面、部門層面、區(qū)域?qū)用嬉约皣H合作層面。

國家層面的協(xié)調(diào)：由國土安全部與行業(yè)特定機(jī)構(gòu)進(jìn)行合作，通過國土安全部下屬的基礎(chǔ)設(shè)施保護(hù)辦公室（OIP）監(jiān)督國家級CI/KR保護(hù)活動的協(xié)調(diào)和整合，促進(jìn)整個(gè)NIPP的發(fā)展。具體包括：作為信息共享、活動協(xié)調(diào)的信息交換場所來領(lǐng)導(dǎo)和協(xié)調(diào)計(jì)劃執(zhí)行；促進(jìn)組織協(xié)調(diào)模式的開發(fā)和維護(hù)；促進(jìn)NIPP的修訂與更新；確保協(xié)調(diào)政策和方法的有效性和可操作性；促進(jìn)最佳實(shí)踐和經(jīng)驗(yàn)分享；促進(jìn)合作伙伴參與規(guī)劃和演習(xí)活動；確保行業(yè)特定計(jì)劃的跨部門協(xié)調(diào)等。

部門間層面協(xié)調(diào)：創(chuàng)建了由政府側(cè)和私營部門側(cè)組成的規(guī)?；瘏f(xié)調(diào)機(jī)制。鼓勵各行業(yè)成立政府協(xié)調(diào)委員會（GCC）和行業(yè)協(xié)調(diào)委員會（SCC）進(jìn)行橫向協(xié)調(diào)對接，通過政府跨部門委員會來縱向解決各GCC之間的跨部門問題和相互依賴性問題，通過私營部門跨部門委員會縱向解決各SCC之間的跨部門問題和相互依賴性問題，最終由關(guān)鍵基礎(chǔ)設(shè)施伙伴關(guān)系咨詢委員會完成橫向和縱向協(xié)調(diào)的整合，通過來自各行業(yè)的精英代表和來自聯(lián)邦各州、地方政府的代表組成的實(shí)體機(jī)構(gòu)更好促進(jìn)公私部門間協(xié)調(diào)合作。

其中SCC由來自各行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營者組成，主要職能包括協(xié)助政府解決該行業(yè)的所有關(guān)鍵基礎(chǔ)設(shè)施保護(hù)問題；成為運(yùn)營者、所有者和供應(yīng)商之間的戰(zhàn)略協(xié)調(diào)橋梁并與政府進(jìn)行溝通協(xié)調(diào)；確定和實(shí)施適合本行業(yè)的信息共享機(jī)制；促進(jìn)和協(xié)調(diào)本行業(yè)保護(hù)規(guī)劃和演習(xí)培訓(xùn)等活動；整合公私部門意見和建議；提供行業(yè)保護(hù)研發(fā)需求及制定行業(yè)保護(hù)標(biāo)準(zhǔn)等。GCC由各級政府（聯(lián)邦、州、地方或部落）的代表組成，每個(gè)GCC由指定的行業(yè)特定機(jī)構(gòu)的一名代表擔(dān)任主席，主要負(fù)責(zé)在部門層面提供跨部門戰(zhàn)略溝通協(xié)調(diào)、參與NIPP基礎(chǔ)計(jì)劃和行業(yè)特定計(jì)劃的制定、協(xié)調(diào)并支持SCC執(zhí)行國家基礎(chǔ)設(shè)施保護(hù)。私營部門跨部門委員會（PCIS）由來自各SCC的成員組成，主要活動包括提供高層跨部門的戰(zhàn)略協(xié)調(diào)、確定和推廣各行業(yè)的CI/KR保護(hù)最佳實(shí)踐、參與NIPP基礎(chǔ)計(jì)劃和行業(yè)特定計(jì)劃的制定、支持和執(zhí)行國家CI/KR保護(hù)任務(wù)等。政府跨部門委員會由聯(lián)邦高級領(lǐng)導(dǎo)委員會（FSLC）和州和地方部落政府協(xié)調(diào)委員會（SLTGCC）兩個(gè)子委員會組成。FSLC主要負(fù)責(zé)推動執(zhí)行NIPP和加強(qiáng)聯(lián)邦部門機(jī)構(gòu)之間的溝通和協(xié)調(diào)，SLTGCC負(fù)責(zé)提供交流平臺，確保州、地方的國土安全顧問與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)參與者能夠充分交流溝通。

國際合作層面協(xié)調(diào)：在全球范圍內(nèi)與美國相互支持的國家合作開展國際活動。包括國際外聯(lián)計(jì)劃、國家演習(xí)計(jì)劃和國家網(wǎng)絡(luò)演習(xí)活動等。

NIPP的有效實(shí)施取決于政府和私營部門積極參與的多向信息共享。NIPP信息共享方法實(shí)現(xiàn)了從嚴(yán)格的分層模式到網(wǎng)絡(luò)模式的轉(zhuǎn)變，允許垂直和水平分布的信息訪問提升決策和行動的能力。網(wǎng)絡(luò)信息共享的主要目標(biāo)是增強(qiáng)態(tài)勢感知，最大限度地提高各級政府和私營安全伙伴評估風(fēng)險(xiǎn)和計(jì)劃執(zhí)行的能力。

在信息共享的生命周期中，需求規(guī)劃、信息收集和分析決策是關(guān)鍵要素。需求規(guī)劃是指由國土安全部與行業(yè)特定機(jī)構(gòu)和州、地方政府和私營部門合作伙伴共同制定和發(fā)布年度CI/KR保護(hù)信息需求報(bào)告，對收集信息需求提出建議并通過SCC分發(fā)給各行業(yè)。信息收集是指私營部門自愿參與信息收集工作，通過國家基礎(chǔ)設(shè)施協(xié)調(diào)中心（NICC）向國土安全部國家運(yùn)營中心（NOC）報(bào)告可疑活動，并與政府收集的信息進(jìn)行集成，形成全面的威脅評估和警告，國土安全部的評估結(jié)果將發(fā)布到國土安全信息網(wǎng)絡(luò)（HSIN）門戶網(wǎng)站并在各部門之間共享。分析決策要求國土基礎(chǔ)設(shè)施威脅和風(fēng)險(xiǎn)分析中心負(fù)責(zé)將關(guān)鍵基礎(chǔ)設(shè)施特定漏洞和數(shù)據(jù)與威脅信息相結(jié)合，生成可操的風(fēng)險(xiǎn)評估結(jié)果，用于通知各級CI/KR進(jìn)行風(fēng)險(xiǎn)緩解活動。信息共享的形式又可以分為“自上而下的共享”和“自下而上的共享”兩種。自上而下的共享，威脅信息通過國內(nèi)或國外收集和分析，生成國家層面的綜合信息發(fā)送給州和地方政府、關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商以及其他聯(lián)邦機(jī)構(gòu)。自下而上的共享，州、地方、部落、私營部門和非政府組織使用已建立的通信和報(bào)告渠道報(bào)告各種安全和事件相關(guān)信息，再由國土安全部進(jìn)行評估以說明全面的風(fēng)險(xiǎn)狀況。

NIPP還提出了一種多向信息共享的網(wǎng)絡(luò)模型，國土安全信息網(wǎng)絡(luò)（HSIN）由基于網(wǎng)絡(luò)的國家通信平臺連接組成，全面部署后構(gòu)成一個(gè)強(qiáng)大的信息共享系統(tǒng)平臺，支持國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃和國家應(yīng)急計(jì)劃的相關(guān)事件管理活動。此外，HSIN通過提供友好和高效的信息共享渠道，增強(qiáng)了所有安全合作伙伴在危險(xiǎn)環(huán)境中的綜合效能，以便安全合作伙伴能夠獲取、分析和共享信息。在這個(gè)信息共享網(wǎng)絡(luò)系統(tǒng)中，安全合作伙伴被分組為不同節(jié)點(diǎn)（包括聯(lián)邦情報(bào)機(jī)構(gòu)節(jié)點(diǎn)、聯(lián)邦基礎(chǔ)設(shè)施機(jī)構(gòu)節(jié)點(diǎn)、州和地方管轄區(qū)節(jié)點(diǎn)、私營部門節(jié)點(diǎn)以及國土安全運(yùn)營節(jié)點(diǎn)），使具有共同關(guān)注點(diǎn)的群體在系統(tǒng)提供的虛擬區(qū)域中共享信息，節(jié)點(diǎn)之間的聯(lián)系產(chǎn)生了戰(zhàn)略風(fēng)險(xiǎn)和事件演變的動態(tài)視圖，從而達(dá)到威脅事件的態(tài)勢感知目的。

圖 國家基礎(chǔ)設(shè)施保護(hù)年度報(bào)告分析流程（引自NIPP）

聯(lián)邦情報(bào)機(jī)構(gòu)節(jié)點(diǎn)：由國家情報(bào)機(jī)構(gòu)、行業(yè)特定機(jī)構(gòu)情報(bào)辦公室、國土安全部情報(bào)與分析辦公室（OI&A）以及國家和地區(qū)級情報(bào)融合中心實(shí)體組成，負(fù)責(zé)識別和確認(rèn)相關(guān)威脅的真實(shí)性。涉及的國家級情報(bào)融合中心包括國土安全部國土基礎(chǔ)設(shè)施威脅與風(fēng)險(xiǎn)分析中心（HITRAC）、國家聯(lián)合反恐工作隊(duì)（NJTTF）、國家反恐中心（NCTC），國家海事情報(bào)中心（NMIC）等。

聯(lián)邦基礎(chǔ)設(shè)施機(jī)構(gòu)節(jié)點(diǎn)：由國土安全部、行業(yè)特定機(jī)構(gòu)和其他聯(lián)邦部門和機(jī)構(gòu)組成，負(fù)責(zé)收集和接收各種來源的威脅事件和其他操作信息，以及開發(fā)實(shí)時(shí)威脅預(yù)警產(chǎn)品。

1999年12月，歐盟委員會制定了《關(guān)于建立電子簽名共同法律》。歐盟各國在很早就開始相關(guān)法律的制定，可見對其安全性的重視。中國也十分重視電子商務(wù)以及數(shù)字簽名技術(shù)的發(fā)展，在第十屆全國人民代表大會上通過中華人民共和國電子簽名法，這一法律方案的制定也讓我國數(shù)字簽名技術(shù)更好的發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)，除此以外，世界上很多國家也制定了和數(shù)字簽名相關(guān)的法律法規(guī)。

州、地方區(qū)域節(jié)點(diǎn)：提供國土安全部、行業(yè)特定機(jī)構(gòu)、州、地方和區(qū)域級別的安全伙伴之間的鏈接，通過建立通信渠道將信息從地方傳遞到州，再傳遞到聯(lián)邦政府一級，并將信息從聯(lián)邦政府傳播到其他安全合作伙伴。國土安全部安全保護(hù)顧問（PSA）還充當(dāng)CI/KR所有者和運(yùn)營商以及州、地方和部落官員的聯(lián)絡(luò)人，協(xié)調(diào)和執(zhí)行相關(guān)脆弱性評估。

私營部門節(jié)點(diǎn)：由關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者、行業(yè)協(xié)調(diào)委員會、信息共享和分析中心（ISAC）和提供事件信息的行業(yè)協(xié)會組成。相關(guān)節(jié)點(diǎn)向國土安全部上報(bào)實(shí)際或潛在的可疑活動報(bào)告，作為回報(bào)，國土安全部向私營部門節(jié)點(diǎn)成員共享威脅警報(bào)和保護(hù)措施建議。

國土安全運(yùn)營節(jié)點(diǎn)：由國家運(yùn)營中心（NOC）、國家電信協(xié)調(diào)中心（NCC）和美國計(jì)算機(jī)應(yīng)急小組（US-CERT)組成。通過與其他政府機(jī)構(gòu)和私營部門的密切合作，提供實(shí)時(shí)預(yù)警、事件報(bào)告、態(tài)勢感知和信息共享等能力。其中，國家運(yùn)營中心由國家運(yùn)營中心總部（NOC-HQE）、國家應(yīng)急協(xié)調(diào)中心（NRCC）、情報(bào)和分析部門以及國家基礎(chǔ)設(shè)施協(xié)調(diào)中心（NICC）四個(gè)子部門組成，是美國國內(nèi)事件管理、行動協(xié)調(diào)和態(tài)勢感知的中心，是一個(gè)7×24小時(shí)常設(shè)機(jī)構(gòu)組織，融合執(zhí)法、國家情報(bào)、應(yīng)急響應(yīng)和私營部門報(bào)告等相關(guān)信息。國家電信協(xié)調(diào)中心運(yùn)行于國家通信系統(tǒng)之下，是一個(gè)行業(yè)與政府的聯(lián)合實(shí)體，通過定期監(jiān)控通信系統(tǒng)狀態(tài)，在危機(jī)時(shí)期及作戰(zhàn)態(tài)勢下收集信息并向白宮和國土安全部共享信息。美國計(jì)算機(jī)應(yīng)急小組是安全合作伙伴網(wǎng)絡(luò)空間分析、警告、信息共享、事件響應(yīng)和恢復(fù)的全天候單點(diǎn)聯(lián)系人，通過HSIN網(wǎng)站或郵件傳播網(wǎng)絡(luò)安全信息，還為公民、企業(yè)以及其他重要機(jī)構(gòu)提供網(wǎng)絡(luò)安全問題的溝通渠道。

NIPP的實(shí)施將在很大程度上依賴私營部門提供的關(guān)鍵基礎(chǔ)設(shè)施信息。其中大部分是敏感的業(yè)務(wù)或安全信息，可能會被未經(jīng)授權(quán)訪問或披露，從而對私營公司甚至公共安全造成嚴(yán)重?fù)p害。聯(lián)邦政府有法定責(zé)任保護(hù)從CI/KR活動中收集的信息，關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)計(jì)劃（PCII）就是國土安全部執(zhí)行的此類信息保護(hù)之一。PCII計(jì)劃是根據(jù)2002年《關(guān)鍵基礎(chǔ)設(shè)施信息法案》建立的，該計(jì)劃提供了一種與政府分享私營部門信息的方式，在保證信息得到適當(dāng)分享的同時(shí)又不會被公開披露。此外，美國還配有其他敏感信息保護(hù)協(xié)議，如敏感安全信息（SSI）、非保密受控核信息、《信息自由法》、機(jī)密信息、物理和網(wǎng)絡(luò)安全措施等，這些都使得私營部門能夠自愿向政府提交有關(guān)CI/KR的敏感信息。

（五）任務(wù)整合：整合國土安全任務(wù)，指明保護(hù)計(jì)劃關(guān)系

NIPP提供了一種結(jié)構(gòu)模式，更好協(xié)調(diào)、整合及同步各種法規(guī)，國家戰(zhàn)略以及行動計(jì)劃，NIPP指明了自身與行業(yè)特定計(jì)劃和其他CI/KR保護(hù)戰(zhàn)略、計(jì)劃和倡議之間的關(guān)系和聯(lián)系。此外，NIPP還描述了國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作與國土安全任務(wù)中預(yù)防、保護(hù)、響應(yīng)和恢復(fù)等要素相結(jié)合的方式方法。

在NIPP提出以前，美國制定了大量的政策法規(guī)來保護(hù)國土安全，NIPP結(jié)合國土安全立法、戰(zhàn)略、總統(tǒng)令以及相關(guān)政策倡議等提出了一種協(xié)同工作的框架結(jié)構(gòu)并將自身納入其中，實(shí)現(xiàn)了與國家級關(guān)鍵基礎(chǔ)設(shè)施保護(hù)任務(wù)的統(tǒng)一。

國土安全戰(zhàn)略和立法：戰(zhàn)略層面：國土安全國家戰(zhàn)略、關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資產(chǎn)物理保護(hù)國家戰(zhàn)略以及網(wǎng)絡(luò)空間安全國家戰(zhàn)略共同為國土安全任務(wù)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)要素提供了愿景和戰(zhàn)略方向。

國土安全總統(tǒng)令：為具體項(xiàng)目和活動制定國家政策和執(zhí)行任務(wù)。其中3、5、7、8號國土安全總統(tǒng)令與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)最相關(guān)，HSPD-3建立了國土安全咨詢系統(tǒng)，HSPD-5闡述了國內(nèi)事件管理的國家方法，HSPD-7側(cè)重于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)任務(wù)，HSPD-8專注于確保國家防備最佳水平。

國家方案：國家事件管理系統(tǒng)（NIMS）提供了一個(gè)全國性的模板，支持聯(lián)邦、州、地方和部落政府、私營部門以及非政府組織有效和高效地合作，以預(yù)防、準(zhǔn)備、應(yīng)對和事件恢復(fù)。國家應(yīng)急計(jì)劃（NRP）建立在NIMS模板上，由29個(gè)聯(lián)邦部門以及3個(gè)非政府組織簽署，它為美國威脅事件的管理建立了一個(gè)全面的框架，需要國土安全部協(xié)調(diào)，并通過聯(lián)邦、州、地方和部落政府的適當(dāng)組合做出有效反應(yīng)。國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃（NIPP）通過將資源集中投放在國家風(fēng)險(xiǎn)管理產(chǎn)生最大回報(bào)的地方，建立了國家常規(guī)時(shí)期的保護(hù)能力。

2.NIPP與行業(yè)特定計(jì)劃及其他保護(hù)計(jì)劃的關(guān)系

行業(yè)特定計(jì)劃是NIPP不可分割的組成部分，作為獨(dú)立文件存在，解決與每個(gè)行業(yè)相關(guān)的獨(dú)特問題、風(fēng)險(xiǎn)狀況和方法。

行業(yè)特定計(jì)劃：由行業(yè)特定機(jī)構(gòu)與SCC、GCC和其他人（包括州、地方和部落國土安全合作伙伴）共同開發(fā)，行業(yè)特定計(jì)劃專門針對每個(gè)行業(yè)的獨(dú)特特征和風(fēng)險(xiǎn)狀況進(jìn)行定制，其主要作用是定義行業(yè)安全合作伙伴、權(quán)限、監(jiān)管基礎(chǔ)、角色和責(zé)任以及相互依賴關(guān)系；建立現(xiàn)有的行業(yè)互動、信息共享、協(xié)調(diào)伙伴關(guān)系機(jī)制；確定安全合作伙伴制定的目標(biāo)，實(shí)現(xiàn)該行業(yè)所需的保護(hù)態(tài)勢；確定國際考慮因素；確定風(fēng)險(xiǎn)模型之外的政府行動領(lǐng)域；確定行業(yè)特定機(jī)構(gòu)與國土安全部和其他安全部門協(xié)調(diào)等。

州、地區(qū)保護(hù)計(jì)劃：州、地區(qū)、地方和部落的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃的制定和實(shí)施，是國土安全計(jì)劃的關(guān)鍵組成部分。在地區(qū)范圍內(nèi)，NIPP風(fēng)險(xiǎn)管理框架和信息共享流程可以通過區(qū)域伙伴關(guān)系模式或使用現(xiàn)有的區(qū)域協(xié)調(diào)結(jié)構(gòu)來應(yīng)用，如開展公私合作保護(hù)活動，開發(fā)風(fēng)險(xiǎn)管理和分析工具，設(shè)立論壇和溝通平臺及確定資金需求等。

NIPP和國家應(yīng)急計(jì)劃是相互補(bǔ)充的計(jì)劃，國家應(yīng)急計(jì)劃在國內(nèi)發(fā)生威脅和緊急事件時(shí)期解決預(yù)防、準(zhǔn)備、響應(yīng)和恢復(fù)問題。NIPP風(fēng)險(xiǎn)管理框架、部門合作模式和信息共享機(jī)制的結(jié)構(gòu)旨在支持公私部門的協(xié)調(diào)與合作，同時(shí)認(rèn)識到部門之間和內(nèi)部的差異，承認(rèn)保護(hù)敏感信息的必要性，建立信息共享流程，并提供從正常運(yùn)行到事件響應(yīng)的平穩(wěn)過渡。

（六）長效計(jì)劃：確立長期保護(hù)舉措，持續(xù)改進(jìn)保護(hù)計(jì)劃

為了確保關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃的長期有效。NIPP提出了更長交付周期的持續(xù)投入和計(jì)劃，例如提高人員專業(yè)水平、開發(fā)高科技系統(tǒng)和提高公眾意識等。

建立國家意識：由國土安全部、行業(yè)特定機(jī)構(gòu)和其他安全合作伙伴聯(lián)合負(fù)責(zé)制定和實(shí)施全面的國家意識計(jì)劃，以支持關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和安全投資的可持續(xù)性。

支持教育培訓(xùn)計(jì)劃：NIPP支持針對個(gè)人和組織的教育培訓(xùn)計(jì)劃，通過維持足夠數(shù)量的專業(yè)人員，使個(gè)人和組織能夠具備關(guān)鍵基礎(chǔ)設(shè)施保護(hù)專業(yè)知識。通過建立和維持國家演習(xí)、國土安全演習(xí)以及國家網(wǎng)絡(luò)演習(xí)三個(gè)主要的國家級演習(xí)計(jì)劃，測試在恐怖事件、自然災(zāi)害以及其他緊急狀態(tài)下各國家計(jì)劃的互動以及公私合作的協(xié)調(diào)情況。

引導(dǎo)研發(fā)和技術(shù)應(yīng)用：從長遠(yuǎn)來看，研發(fā)是通過技術(shù)進(jìn)步實(shí)現(xiàn)更高效、更具價(jià)值的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的關(guān)鍵。支持NIPP的研發(fā)項(xiàng)目包括國家基礎(chǔ)設(shè)施保護(hù)研究與開發(fā)計(jì)劃、聯(lián)邦網(wǎng)絡(luò)安全研發(fā)計(jì)劃以及其他研發(fā)計(jì)劃等，通過規(guī)劃長期研究目標(biāo)和優(yōu)先事項(xiàng)的修訂，以應(yīng)對威脅、技術(shù)、環(huán)境、業(yè)務(wù)連續(xù)性和其他因素的變化。

建立數(shù)據(jù)系統(tǒng)和仿真工具：建立數(shù)據(jù)系統(tǒng)需要得到國土安全部、行業(yè)特定機(jī)構(gòu)以及各州和地區(qū)公私部門合作伙伴的長期支持、協(xié)調(diào)和資源投入，這些數(shù)據(jù)系統(tǒng)可以維護(hù)資產(chǎn)信息清單、存儲攻擊事件信息、分析依賴性和相互依賴性以及管理各種保護(hù)計(jì)劃的實(shí)施等。國土安全部應(yīng)急管理局作為關(guān)鍵基礎(chǔ)設(shè)施保護(hù)仿真建模的責(zé)任機(jī)構(gòu)，將開發(fā)針對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的仿真模型，并利用國家基礎(chǔ)設(shè)施模擬和分析中心提升建模和仿真能力。

持續(xù)改進(jìn)NIPP基礎(chǔ)計(jì)劃和行業(yè)特定計(jì)劃：NIPP將SCC、GCC、政府和私營部門跨部門委員會作為協(xié)調(diào)政策、規(guī)劃和培訓(xùn)的主要平臺，以確保NIPP基礎(chǔ)計(jì)劃和行業(yè)特定計(jì)劃的有效實(shí)施。國土安全部基礎(chǔ)設(shè)施保護(hù)辦公室作為NIPP管理和維護(hù)的聯(lián)邦執(zhí)行機(jī)構(gòu)，將監(jiān)督NIPP的審查和維護(hù)過程，每年對NIPP的進(jìn)行一次審查，行業(yè)特定機(jī)構(gòu)將與GCC和SCC協(xié)調(diào)，建立必要的審查機(jī)制，制定行業(yè)特定計(jì)劃的維護(hù)和更新流程。

（七）資源保障：明確資源分配原則，確定資源分配流程

由于可用于支持國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的資源有限，NIPP提出了一種基于風(fēng)險(xiǎn)的綜合方法用于資助國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃，根據(jù)風(fēng)險(xiǎn)評估結(jié)果，向最高保護(hù)優(yōu)先級的州、地方和部落實(shí)體提供聯(lián)邦撥款援助，從而保障關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行的連續(xù)性。

基于風(fēng)險(xiǎn)的資源分配基本原則是必須將資源用于最高優(yōu)先級的領(lǐng)域。NIPP制定了國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)年度報(bào)告流程，使國土安全部從國家角度確定核心的資產(chǎn)、系統(tǒng)、網(wǎng)絡(luò)和功能，并及時(shí)了解全國開展關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行動、哪些優(yōu)先事項(xiàng)和要求起到了關(guān)鍵作用，確定資金分配等。流程包括三大節(jié)點(diǎn)：行業(yè)特定機(jī)構(gòu)向國土安全部提交報(bào)告、州政府向國土安全部報(bào)告、國土安全部編制年度綜合報(bào)告。國土安全部通過匯編后的年度報(bào)告向總統(tǒng)辦公廳提供有關(guān)保護(hù)優(yōu)先事項(xiàng)和需求的建議。

行業(yè)特定機(jī)構(gòu)向國土安全部提交報(bào)告：首先行業(yè)特定機(jī)構(gòu)作為牽頭人與行業(yè)合作伙伴協(xié)調(diào)，確定行業(yè)優(yōu)先項(xiàng)目需求和資金需求，然后國土安全部向行業(yè)特定機(jī)構(gòu)提供報(bào)告指南和模板，最后行業(yè)特定機(jī)構(gòu)向國土安全部提交年度報(bào)告，內(nèi)容包括關(guān)鍵基礎(chǔ)設(shè)施保護(hù)優(yōu)先事項(xiàng)及目標(biāo)差距、保護(hù)行動或計(jì)劃的行業(yè)特定需求及行業(yè)部門的資金預(yù)算需求等。

州政府向國土安全部報(bào)告：國土安全部同樣為州和地方政府提供具有規(guī)劃指導(dǎo)的模板信息，要求各州制定國土安全戰(zhàn)略，為國土安全計(jì)劃制定目標(biāo)，確定需要在國家層面引起關(guān)注的保護(hù)需求，包括管轄范圍內(nèi)保護(hù)優(yōu)先事項(xiàng)和年度目標(biāo)、說明保護(hù)活動和計(jì)劃的要求、協(xié)調(diào)安全伙伴規(guī)劃信息共享的機(jī)制、提出需要資金支持的項(xiàng)目和計(jì)劃、落實(shí)已確定保護(hù)事項(xiàng)的資金來源等，國土安全部必須在各州管轄范圍內(nèi)匯總相關(guān)信息。

國土安全部編制年度報(bào)告：國土安全部將使用從行業(yè)特定機(jī)構(gòu)部門保護(hù)年度報(bào)告和州政府保護(hù)報(bào)告中收集的信息，評估全國的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)狀況和需求，為降低保護(hù)任務(wù)區(qū)的國家級風(fēng)險(xiǎn)項(xiàng)目制定資金建議。作為年度聯(lián)邦預(yù)算流程的一部分，國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)年度報(bào)告將于每年9月1日前隨國土安全部預(yù)算提交總統(tǒng)辦公廳。

聯(lián)邦資源分配流程旨在確保國土安全部、行業(yè)特定機(jī)構(gòu)和其他部門機(jī)構(gòu)的集體努力支持NIPP和國家優(yōu)先事項(xiàng)，協(xié)調(diào)所有國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)，確定國家級保護(hù)的差距和不足，同時(shí)確認(rèn)所有聯(lián)邦部門和機(jī)構(gòu)在保護(hù)項(xiàng)目中的預(yù)算權(quán)限和責(zé)任。

國土安全部：國土安全部確定國家核心資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)并確定其優(yōu)先級，幫助確保實(shí)施適當(dāng)?shù)谋Ｗo(hù)措施，并根據(jù)提取和匯總的相關(guān)信息確定國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作中存在的差距和不足，為總統(tǒng)辦公廳提供支持CI/KR保護(hù)的相關(guān)戰(zhàn)略和投資決策信息。

行業(yè)特定機(jī)構(gòu)：行業(yè)特定機(jī)構(gòu)要與SCC和GCC合作，確定本行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)優(yōu)先事項(xiàng)和資源需求，并向國土安全部匯報(bào)年度報(bào)告。

二、價(jià)值與意義

（一）提出基礎(chǔ)設(shè)施保護(hù)計(jì)劃，構(gòu)建風(fēng)險(xiǎn)管理模型框架

NIPP對美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)最大的貢獻(xiàn)就在于設(shè)計(jì)和構(gòu)建了一套相對科學(xué)的風(fēng)險(xiǎn)管理框架。這套框架將龐大而復(fù)雜的風(fēng)險(xiǎn)管理工作進(jìn)行逐步拆解，使決策者更加清晰的了解全國如何開展關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作，知曉哪些保護(hù)事項(xiàng)應(yīng)該最先執(zhí)行，哪些保護(hù)需求最迫切以及相關(guān)財(cái)政資金是否被用于這些保護(hù)措施。同時(shí)，在風(fēng)險(xiǎn)管理框架下建立的量化結(jié)果，使區(qū)域之間、行業(yè)之間以及部門之間的保護(hù)工作差距更加明顯，保護(hù)工作中出現(xiàn)的短板也更加容易被發(fā)現(xiàn)。另外，貫徹和執(zhí)行這套風(fēng)險(xiǎn)管理框架，為美國政府部門和私營部門運(yùn)營者建立了統(tǒng)一的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)參照體系，使各級安全合作伙伴形成了統(tǒng)一的思維框架，提高了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)措施的落地執(zhí)行效率。

（二）擴(kuò)大保護(hù)部門協(xié)調(diào)規(guī)模，創(chuàng)新公私伙伴協(xié)作模式

NIPP擴(kuò)大了美國聯(lián)邦部門間的協(xié)調(diào)規(guī)模，在HSPD-7提出的行業(yè)特定機(jī)構(gòu)的基礎(chǔ)上，大幅增加關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的協(xié)調(diào)規(guī)模，從國家層面、部門層面、地區(qū)層面以及國際層面完善了整個(gè)保護(hù)鏈條的協(xié)調(diào)機(jī)制。同時(shí)，NIPP提出了新的“關(guān)鍵基礎(chǔ)設(shè)施保護(hù)伙伴關(guān)系模式”，將63號總統(tǒng)令提出的行業(yè)聯(lián)絡(luò)官加行業(yè)協(xié)調(diào)員的模式，升級為行業(yè)協(xié)調(diào)委員會與政府協(xié)調(diào)委員會，擴(kuò)大了政府和私營部門的代表性，在橫向拉通行業(yè)內(nèi)部協(xié)調(diào)關(guān)系的同時(shí)，通過組建跨行業(yè)、跨部門協(xié)調(diào)委員會，縱向整合部門及行業(yè)資源，充分發(fā)揮專業(yè)化和規(guī)?；瘍?yōu)勢，開創(chuàng)了全新的公私伙伴協(xié)作模式。

（三）結(jié)合特殊行業(yè)實(shí)際情況，制定行業(yè)特別行動計(jì)劃

NIPP提出了“基礎(chǔ)保護(hù)計(jì)劃+行業(yè)特定計(jì)劃”的全新保護(hù)模式?？紤]到關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的行業(yè)差異性，NIPP在提出基礎(chǔ)保護(hù)內(nèi)容的同時(shí)，要求HSPD-7所列出的17個(gè)關(guān)鍵行業(yè)在行業(yè)特定機(jī)構(gòu)的領(lǐng)導(dǎo)下，結(jié)合行業(yè)特點(diǎn)和特殊行動計(jì)劃，從保護(hù)、研發(fā)、協(xié)調(diào)、信息共享等角度考慮，制定符合本行業(yè)實(shí)際運(yùn)營模式和保護(hù)需求的行業(yè)特定計(jì)劃，由國土安全部和行業(yè)特定機(jī)構(gòu)共同監(jiān)督執(zhí)行，并鼓勵和授權(quán)最了解實(shí)際情況的一線專業(yè)人員參與計(jì)劃的制定和實(shí)施，這種基礎(chǔ)保護(hù)+行業(yè)特殊保護(hù)的模式極大促進(jìn)了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)在相關(guān)行業(yè)的落地執(zhí)行。此外，NIPP也為支持行業(yè)特定計(jì)劃提供了統(tǒng)一的內(nèi)容模板和數(shù)據(jù)格式，既有利于“向上”歸集匯報(bào)，又便于行業(yè)（部門）間橫向比較，為加速量化和規(guī)范保護(hù)行動發(fā)揮了重要作用。

（四）組建風(fēng)險(xiǎn)管理專門機(jī)構(gòu)，優(yōu)化保護(hù)資源分配機(jī)制

成立風(fēng)險(xiǎn)管理的專門機(jī)構(gòu)是開展風(fēng)險(xiǎn)管理和實(shí)施關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的重要基礎(chǔ)，美國組建國土安全部其中一個(gè)重要出發(fā)點(diǎn)就是要增強(qiáng)聯(lián)邦層級各機(jī)構(gòu)間橫向政策的協(xié)調(diào)性和一致性，提高美國安全整體風(fēng)險(xiǎn)管理能力。國土安全部牽頭發(fā)布的NIPP推動了美國關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)化進(jìn)程，向決策者提供關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)信息，通過將聯(lián)邦公共資源合理分配到相關(guān)保護(hù)項(xiàng)目，實(shí)現(xiàn)了政府風(fēng)險(xiǎn)管理與績效管理、財(cái)政支持的有機(jī)結(jié)合，逐步將美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、績效管理與聯(lián)邦財(cái)政支持掛鉤，督促其深入持久、細(xì)致地開展關(guān)鍵基礎(chǔ)設(shè)施保護(hù)各項(xiàng)工作。

三、總結(jié)和建議

“9·11”恐怖襲擊之后，美國聯(lián)邦政府高度重視國土安全風(fēng)險(xiǎn)，并迅速成立了國土安全部以全面協(xié)調(diào)和實(shí)施發(fā)生在美國的自然災(zāi)害、恐怖襲擊和其他突發(fā)事件的處置。2006年6月，按照2003年美國布什政府頒布的HSPD-7，國土安全部牽頭起草并發(fā)布了NIPP。該計(jì)劃提出了加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)，提升國家預(yù)防、響應(yīng)和快速恢復(fù)能力的政策原則；界定了政府及私營部門等7類角色的權(quán)力職責(zé)；構(gòu)建了一套閉環(huán)的可自提高的風(fēng)險(xiǎn)管理模型；設(shè)計(jì)了更具規(guī)?；慕M織協(xié)調(diào)模式和信息共享機(jī)制；整合了NIPP與其他國土安全任務(wù)的關(guān)系，更好協(xié)調(diào)、結(jié)合及同步各種法規(guī)、戰(zhàn)略以及行動計(jì)劃；明確了加強(qiáng)教育培訓(xùn)、開發(fā)高科技系統(tǒng)等更長交付周期的項(xiàng)目計(jì)劃；制定了向最高保護(hù)優(yōu)先級的實(shí)體提供資源保障的原則，以及保障關(guān)鍵基礎(chǔ)設(shè)施連續(xù)性的資源分配流程?？傮w而言，NIPP為美國關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)管理提供了重要的理論指導(dǎo)和實(shí)踐指南。

通過分析總結(jié)NIPP思考我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作，主要建議如下。

一是加快制定出臺具有我國特色的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃，通過研究美國政府關(guān)鍵基礎(chǔ)設(shè)施保護(hù)經(jīng)驗(yàn)，加強(qiáng)我國關(guān)鍵信息基礎(chǔ)設(shè)施在管理、運(yùn)營、技術(shù)和監(jiān)管等領(lǐng)域的研究，制定出可落地執(zhí)行的國家級綜合性關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃，提高我國關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)綜合能力。

二是研究制定具有各行業(yè)特色的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃，通過研究國內(nèi)外行業(yè)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)經(jīng)驗(yàn)，針對各行業(yè)的獨(dú)特特征和風(fēng)險(xiǎn)狀況，鼓勵行業(yè)監(jiān)管機(jī)構(gòu)、行業(yè)協(xié)會組織以及相關(guān)企業(yè)代表共同參與制定本行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃，加快推進(jìn)本行業(yè)與國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的融合、協(xié)調(diào)和持續(xù)演進(jìn)。

三是加強(qiáng)完善我國關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)管理能力，探索和確定有針對性、科學(xué)實(shí)用的關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)管理流程及方法，研究和完善可量化、可對比的標(biāo)準(zhǔn)化風(fēng)險(xiǎn)評估模型和指標(biāo)，對全國關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行常態(tài)化風(fēng)險(xiǎn)管理，有效提升我國關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)管理能力。

四是建立健全我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的標(biāo)準(zhǔn)規(guī)范，通過研究交流，加快出臺具有我國特色的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)、指南和戰(zhàn)略規(guī)劃，努力推動廣泛的行業(yè)標(biāo)準(zhǔn)制定和應(yīng)用，有針對性地增強(qiáng)關(guān)鍵行業(yè)和基層政府的標(biāo)準(zhǔn)化管理意識，健全和完善網(wǎng)絡(luò)與信息安全共享機(jī)制，開展網(wǎng)絡(luò)安全威脅分析和態(tài)勢研判，提升全國范圍內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)管理體系建設(shè)。

五是落實(shí)安全保護(hù)、績效監(jiān)督和資源保障的有機(jī)結(jié)合，探索加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的績效考核辦法，有效利用績效管理、預(yù)算管理等工具提高相關(guān)管理部門的工作落實(shí)積極性，加大人財(cái)物等資源保障，并推動有限的資源保障向加強(qiáng)和改善安全保護(hù)最有效的方向流動，增強(qiáng)我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)實(shí)效。